Hacker nutzen ‚Telegram Messenger‘ Zero-Day-Sicherheitslücke um Malware zu verbreiten

In der Desktop-Version für den end-to-end verschlüsselten Messenger-Dienst Telegram wurde eine Zero-Day-Sicherheitslücke entdeckt. Die App wurde wild dazu benutzt, um Malware zu verbreiten, die Kryptowährungen wie Monero und ZCash zu erhalten.

Die Telegram-Sicherheitslücke wurde von dem Sicherheitsforscher Alexey Firsh vom Kaspersky Lab im letzten Oktober entdeckt und betrifft nur die Windowskunden der Telegram-Messenger Software.

Einem Blogpost auf Securelist zu urteilen nach wurde der Fehler bereits aktiv seit mindestens März 2017 in freier Wildbahn von Angreifern genutzt um Opfer dazu zu bringen, schädliche Software auf ihren Computern zu installieren. Diese nutzt ihre CPU-Leistung, um Kryptowährungen zu erhalten, oder verwenden sie als Backdoor, um als Angreifer die betroffene Maschine aus der Ferne zu kontrollieren.

So funktioniert die Schwachstelle

Die Sicherheitslücke residiert in der Art und Weise wie der Telegram Windows Kunde mit dem RLO (right-to-left override) Unicode Character (U+202E) umgeht, welcher dazu verwendet wird, Sprachen zu codieren, die von rechts nach links geschrieben werden, wie zum Beispiel Arabisch oder Hebräisch.

Nach Aussage des Kaspersky Labs haben die Malware-Creator einen versteckten RLO Unicode Character im Dateinamen verwendet, der die Reihenfolge der Buchstaben umkehrt, wodurch die Datei selbst einen neuen Namen erhält und an Telegram Nutzer gesendet wird.

So zum Beispiel, wenn ein Angreifer eine Datei mit dem Titel “photo_high_re*U+202E*gnp.js” als Anhang einer Nachricht an einen Telegram Nutzer sendet, wird der Dateiname auf dem Benutzerscreen gerendert und spiegelt den hinteren Teil.
Somit wird dem Telegram Nutzer eine PNG Bild-Datei angezeigt (wie im Bild unten angezeigt) anstatt einer JavaSript-Datei, was verursacht, dass man schädliche Malware getarnt als Bild runterlädt.

“Das Ergebnis ist, dass Nutzer versteckte Malware runterladen, die dann auf ihrem Computer installiert wird.”, sagt Kaspersky in der Pressemitteilung die heute veröffentlicht wurde.

Das Kaspersky Lab berichtete Telegram von der Sicherheitslücke, und das Unternehmen hat seitdem den Fehler in seinen Produkten gepatcht. Die russische Sicherheitsfirma sagte: “Seit dem Zeitpunkt der Veröffentlichung konnte der Zero-Day-Fehler in den Messenger-Produkten nicht mehr gesichtet werden.”

Hacker nutzen Telegram um PCs mit Kryptowährung-Minern zu infizieren

Kaspersky-Forscher entdeckten während der Analyse mehrere Fälle von Zero-Day-Exploits durch Threat Actors. Der Fehler wurde hauptsächlich dazu gebraucht, um Kryptowährung-Mining-Software zu verbreiten, welche die Computerleistung des Opfers nutzt um verschiedene Arten der Kryptowährung zu minen, einschließlich Monero, Zcash, Fantomcoin und weitere.

Während der Analyse der Server von schädlichen Angreifern haben die Forscher außerdem Archive gefunden, die einen lokalen Chache von Telegram enthalten, der von Opfern gestohlen wurde.

Ein anderer Fall zeigt auf, wie Cyberkriminelle erfolgreich die Sicherheitslücke nutzen, um einen Backdoor-Trojaner zu installieren, der den Telegram API als Befehls- und Steuerprotokoll nutzt. Somit erhalten Hacker einen Fernzugriff auf den Computer des Opfers.

“Nach der Installation operiert es in einem stillem Modus, welcher es dem Threat Actor erlaubt, im Netzwerk unerkannt zu bleiben und verschiedene Befehle auszuführen, einschließlich der Installation von Spyware Tools.”, fügte die Firma hinzu.

Firsh glaubt, dass die Zero-Day-Sicherheitslücke ausschließlich von russischen Cyberkriminellen genutzt wurde, da “alle Exploit-Fälle die von Forschern entdeckt wurden, aus Russland kamen”, und viele Artefakte wiesen auf russische Cyberkriminelle hin.

Die beste Möglichkeit sich selbst vor solchen Attacken zu schützen, ist, keine Dateien von Fremden oder nicht vertrauenswürdigen Quellen runterzuladen oder zu öffnen.

Die Sicherheitsfirma empfiehlt außerdem, es zu vermeiden sensible persönliche Informationen in Messenger-Apps preiszugeben. Zudem sollte man prüfen, dass man eine gute Antivirus-Software einer zuverlässigen Firma auf dem System installiert hat.